Mit dieser Regel werden Alarme generiert, wenn die Anzahl ausstehender DNS-Namensauflösungsanforderungen höher ist als die für das System definierte maximale Anzahl.
Eine neue Verbindung wurde abgelehnt, bei der TMG Server eine Anforderung zur DNS-Namensauflösung senden müsste, da die Anzahl anstehender DNS-Namensauflösungsanforderungen im Verhältnis zu den insgesamt verfügbaren Threads den vom System definierten Höchstwert übersteigt.
Dies kann auf einen Flutangriff oder eine Wurmausbreitung an zufällig ausgewählte IP-Adressen hinweisen. Wenn eine Richtlinie den Zugriff auf eine oder mehrere vordefinierte Listen von Domänennamen beschränkt, ist für jede Verbindungsanforderung ein Reverse-DNS-Lookup erforderlich. Es kann aber auch ein legitimer Anstieg von Verbindungsanforderungen erfolgt sein, aufgrund dessen TMG Server DNS-Namensauflösungsanforderungen senden muss, oder die Kapazität des TMG Server-Computers ist für die Netzwerkkonfiguration nicht ausreichend.
Führen Sie folgende Schritte aus.
Untersuchen Sie die TMG Server-Protokolle auf Clients, die übermäßig viele Verbindungsanforderungen generieren. Diese Clients sind möglicherweise für die Flutangriffe oder Wurmausbreitungen verantwortlich. Suchen Sie insbesondere nach Protokolleinträgen, die Regeln entsprechen, bei denen eine Namensauflösung erforderlich ist (Verbindungen mit entsprechenden Regeln, bei denen keine Namensauflösung erforderlich sind, sind für die Beschränkung von anstehenden DNS-Namensauflösungsanforderungen irrelevant).
Bereinigen Sie alle befallenen Computer.
Überprüfen Sie die Richtlinienregeln, um die Anforderungen für die DNS-Namensauflösung zu reduzieren und die Richtlinie dadurch zu verstärken.
In der Produktdokumentation finden Sie weitere Informationen zur Abwehr von Flutangriffen von TMG Server.
Target | Microsoft.Forefront.TMG.Server |
Category | EventCollection |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Forefront.TMG.Rule.AlertGenerate.DS | Default |
WA | WriteAction | Microsoft.Forefront.TMG.Rule.AlertGenerate.WA | Default |
<Rule ID="Microsoft.Forefront.TMG.The_number_of_pending_DNS_name_resolution_requests_exceeds_the_system_defined_maximum.Rule" Enabled="true" Target="Microsoft.Forefront.TMG.Server" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.DS">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<EventsPattern>^(21279)$</EventsPattern>
<EventType>1</EventType>
<SourcePattern>Microsoft Forefront TMG Firewall</SourcePattern>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Forefront.TMG.Rule.AlertGenerate.WA">
<AlertMessageId>$MPElement[Name="Microsoft.Forefront.TMG.The_number_of_pending_DNS_name_resolution_requests_exceeds_the_system_defined_maximum.AlertMessage"]$</AlertMessageId>
<DomainName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/DomainDnsName$</DomainName>
<Priority>1</Priority>
<Severity>2</Severity>
</WriteAction>
</WriteActions>
</Rule>